Apple betaalt 75.000 dollar voor lek waarmee iPhonecamera kon worden overgenomen

Apple heeft 75.000 dollar betaald aan een beveiligingsonderzoeker die verschillende kwetsbaarheden ontdekte in Safari. Daarmee wist hij de camera en microfoon van een iPhone over te nemen, mits een slachtoffer eerder bepaalde permissies had gegeven.

De hacker, Ryan Pickren, beschrijft op zijn blog hoe hij in totaal zeven bugs wist te vinden in Safari. De kwetsbaarheden zaten in de manier waarop Safari url's parset en web origins beheert. Op die manier kon hij de browser laten denken op een bepaalde site te zijn, terwijl het in werkelijkheid om een ander domein ging. Pickren demonstreert in zijn blogpost hoe hij op die manier de camera en microfoon van een gebruiker kan overnemen op zowel de iPhone als op een desktop met macOS. Dat doet hij door de browser te laten denken dat de gebruiker op bijvoorbeeld Skype zit, terwijl het in werkelijkheid om een ander domein gaat. Hij gaat er daarvoor wel vanuit dat het slachtoffer eerder al camera- en microfoonpermissies heeft gegeven aan die specifieke site. Safari maakt het mogelijk permissies per website in te stellen.

Pickren deelde zijn bevindingen met Apple. Omdat hij daarmee een zero click-toegangsmethode naar gevoelige data had gevonden kreeg hij 75.000 dollar, omgerekend 69.300 euro, uitgekeerd van het bedrijf. Naast de drie bugs om de cameratoegang te krijgen vond hij ook nog enkele andere bugs. Die zijn door Apple gerepareerd in iOS 13.4 en Safari 13.1.

RyanPickren

Reacties (90)

Verwijderd 3 april 2020 21:09

Totaal off topic: wordt je eigenlijk belast op die bedragen

Tomatoman @Verwijderd • 4 april 2020 09:21

Dat hangt ervan af of de Belastingdienst het aanmerkt als werk of als hobby. Stel dat je een hobbyfotograaf bent, die zo nu en dan wat geldt verdient met betaalde fotografiesessies. Zolang hij jaarlijks meer uitgeeft aan camera’s, lenzen en dergelijke dan hij ontvangt uit de fotografiesessies ziet de Belastingdienst het als een hobby en zijn de inkomsten onbelast. Als hij echter meer gaat verdienen met fotograferen dan het hem kost, vindt de Belastingdienst het geen hobby meer, maar werk. Dan zijn de inkomsten belast (en kan hij de jaarlijkse uitgaven als verrekenbare kosten opvoeren, volgens de geldende regels voor zelfstandigen).

Of zo’n beloning volledig wordt uitgekeerd of dat het uitkerende bedrijf daar namens de (Nederlandse) Belastingdienst al inkomstenbelasting over inhoudt, doet niet af aan het bovenstaande. Als een beloning van 75.000 belastingvrij wordt uitgekeerd, zul je daar in Nederland via je aangifte inkomstenbelasting alsnog belasting over moeten betalen (want: veel meer inkomsten dan uitgaven). Als een beloning van 1000 wordt uitgekeerd minus een voorheffing die het bedrijf doet op de inkomstenbelasting, kun je dat belastingjaar maar beter een leuke upgrade voor je computer kopen – dan kost je hobby je meer dan de 1000 die je ermee verdient en kun je de ingehouden belasting terugvragen.

Luchtbakker @Verwijderd • 3 april 2020 21:55

Totaal off topic: wordt je eigenlijk belast op die bedragen ?

Het is gewoon inkomen uit werk.

bassekeNL @Luchtbakker • 3 april 2020 22:49

Is dat zo? Als het je het doet om inkomen te verwerven, of je beoogd om winst te halen dan wel. Zeg maar als ondernemer of als werk.

Als je een paar avonden zit te hobbyen en daar wat lekken uit haalt die je toevallig met winst kan verkopen? Dan denk ik niet. Zelfs als dat US$75000 is. Maar dat zal niet zonder slag of stoot gaan. Er zit natuurlijk ook een groot grijs gebied tussen: ruimte voor onderhandeling met de belastingdienst.

Robbierut4 @bassekeNL • 3 april 2020 23:15

Ik kan uit eigen ervaring vertellen dat het bij mij onbelast was toen ik perongeluk een bug vond. Een paar avonden hobbyen valt misschien al wat meer onder werk, je had in ieder geval de verwachting er geld voor te kunnen krijgen, wat een grijs gebied oplevert.

Overigens was het voor mij toen nog een heel gedoe om uit te zoeken, heb zo'n 8 medewerkers van de belastingtelefoon gesproken en een belastingadviseur. Maar het was de moeite waard.

DataGhost

@Robbierut4 • 3 april 2020 23:51

Lijkt me handig om dan erbij te vermelden om hoeveel het ongeveer ging en hoe je dat dan in je aangifte verwerkt hebt. Het zijn hoe dan ook inkomsten, of je die nu wilt belasten als loon (je hebt "gewerkt" voor dat bedrijf), als belegging (??), als inkomen uit onderneming (je hebt een bugreport gemaakt en verkocht) of als schenking van het bedrijf aan jou, het moet op de een of andere manier belast worden. Of het moet om een heel laag bedrag gaan in de range van Marktplaats-verkopen. Jouw bedrag zal geen 75k geweest zijn maar dan vraag ik me af waar je zoveel mensen voor moet spreken. Overigens heeft de belastingtelefoon het ook niet altijd bij het rechte eind maar dat merk je uiteindelijk bij je aangifte wel.

Robbierut4 @DataGhost • 4 april 2020 09:24

@MrFax heeft gelijk, ik had niet de verwachting dat ik er geld voor zou krijgen, dit was gewoon de enige manier om het te melden aan Facebook en omdat het om een privacy bug ging vond ik het belangrijk dat het opgelost werd. Ik heb uiteindelijk 7500 dollar ontvangen.
Na veel overleg met de belastingtelefoon en de belastingadviseur heb ik het niet opgegeven bij de belastingaangifte. Het was een schenking vanuit het buitenland waar daar lokaal al belasting over is betaald.
Zie onderstaande link: https://www.belastingdien...ifte-schenkbelasting-doen

Als ik ook maar 5 minuten aan het zoeken was geweest naar een bug, met de intentie om een bug te vinden dan was het geen schenking meer maar vergoeding voor arbeid en op die manier belast.

pepsiblik @Robbierut4 • 4 april 2020 13:18

Wat ook nog van belang kan zijn is het land waar het uitkerende bedrijf gevestigd is. Met een aantal landen heeft Nederland verdragen ter voorkoming van dubbele belasting. Dus het bedrag dat in dat land dan is ingehouden mag je dan hier weer verrekenen.

Robbierut4 @pepsiblik • 4 april 2020 13:39

Goed punt inderdaad. In dit geval was het gevestigd in de VS en was dat blijkbaar geen probleem.

Zoijar @Robbierut4 • 4 april 2020 10:53

Interessant. Toch wel een appart verhaal dan. En in de VS mag je gewoon 11.58 mio usd per lifetime belastingvrij schenken, en betaalt de gever normaal gesproken als er al betaald zou moeten worden. De les: als je je vermogen aan een niet-direct familielid wilt nalaten, eerst even US citizen worden

Zoijar @_Dune_ • 4 april 2020 19:19

Waar komt toch die pavlovian amerika-haat vandaan? Ten eerste heb ik het daar helemaal niet over -- ik haal alleen de regelgeving wat betreft schenkingen aan in amerika: totaal relevant aangezien Apple hier in amerika is gevestigd, maar blijkbaar al een -1 voor iemand. Dan haal jij meteen aan hoe goed of slecht het geregeld is in amerika? Wat precies? Het is gewoon een feit dat je 11.58mio belastingvrij mag schenken daar verspreid over je hele leven. En dan ten slotte over hoe slecht "het" daar geregeld is: voor mijn groep van boven-middenklasse is het prima gergeld: zorg, verzekeringen, arbeidsongeschiktheid, daar is allemaal geen omkijken naar, je betaalt wat premies en misschien is het uiteindelijk nog wel beter dan hier. De onderlaag heeft het wel een stuk lastiger, dat is zeker waar.

MrFax @DataGhost • 4 april 2020 07:26

Ik denk dat het ook aan de manier waarop ligt: Als je iets per ongeluk vond, heb je niet de verwachting gehad dat je er iets voor zou verdienen, dat zoek je daarna pas uit. Ik denk dat in het geval van @Robbierut4 inderdaad als schenking gezien kan worden en wordt het dus maar beperkt belast.

Grrrrrene

@MrFax • 4 april 2020 13:11

Dat is ook een goed punt. Deze beste man was beveiligingsonderzoeker. Die heeft dus als baan om kwetsbaarheden te zoeken en dus is het 100% logisch dat hij er belasting over betaalt.

laptopleon @DataGhost • 4 april 2020 12:57

Jouw bedrag zal geen 75k geweest zijn maar dan vraag ik me af waar je zoveel mensen voor moet spreken.

Helaas is daar weinig voor nodig. Ik speelde met het idee een elektrische fiets als bedrijfsmiddel te kopen. Op de site van de Belastingdienst staan bar weinig details over hoe daar mee omgegaan wordt, dus ik belde om te vragen hoe je bijvoorbeeld de waarde moet bepalen als de fiets niet in Nederland te koop is (want je mag niet uit gaan van Chinese prijzen als je hem uit China haalt). Hoe toon je aan welke kilometers je er privé mee rijdt / dat je er alleen zakelijk mee rijdt? Spoiler: complete km-registratie bijhouden.. Hoe lang moet je dit doen? Weet men nog niet. En zo had ik er nog een paar.

Aangezien de Belastingdienst vragen over verschillende onderwerpen door verschillende afdelingen dus verschillende medewerkers laat beantwoorden, wordt je al snel doorgestuurd naar een ander. Zelfs binnen een afdeling zegt iemand dan soms: Dat weet ik niet maar probeer het eens bij een collega. Voor mijn fiets-onderwerp was ik al 6 medewerkers verder en dan nog bleven er vragen onbeantwoord.

Overigens heeft de belastingtelefoon het ook niet altijd bij het rechte eind maar dat merk je uiteindelijk bij je aangifte wel.

Dat is het meest frustrerende nog: Het geeft geen enkele zekerheid.. En politici maar praten over een betrouwbare overheid.

Afgelopen week drie keer gebeld waar een bevestiging bleef. Twee keer daarvan werd er – na een uitgebreid meerkeuze menu – gewoon opgehangen ‘omdat de rij met wachtende te lang is’.

MsG @bassekeNL • 4 april 2020 09:42

Dat hobbymatig onderscheid kent men in Nederland alleen in het verschil of je echt een onderneming moet worden, of dat je inkomsten moet opgeven als particulier uit overige werkzaamheden. Maar inkomsten blijven gewoon inkomsten.

killerfreak @bassekeNL • 3 april 2020 23:13

Haha zo werkt het echt niet in een land waarin je belasting betaald over een bedrag waar al een keer belasting over betaald is.

obimk1 @killerfreak • 4 april 2020 09:57

Wat ze in NL ook doen met auto brandstoffen?

K-aroq @killerfreak • 4 april 2020 10:36

Je bedoelt: in bijna ieder land in de wereld?

Boy @bassekeNL • 4 april 2020 07:29

Hoe kom je aan deze informatie? Dit vind ik wel interessant, inkomsten krijgen en geen belasting te hoeven betalen.

Ik zou denken dat het Inkomsten uit Overige Werkzaamheden zijn...

Ayporos @Boy • 4 april 2020 09:02

Mja dat lijkt mij ook.

Ik ben geen expert op het gebied, maar recentelijk was er nogal wat 'ophef' over ontzette e-thots die erachter kwamen dat ze belasting dienden te betalen over hun prostitutieinkomsten 'donaties'.

Lord Anubis @bassekeNL • 4 april 2020 10:49

Je kan idd onderhandelen. Hoe je het draait of keert je betaald altijd.

Is het geen loon dan...
Is het geen uitkering dan...
Is het geen verdiensten uit aandelen of dergelijke dan...
is het geen inkomsten uit overige werk dan...
Is het geen gift of erfenis dan...
wordt het vermogen.

Grrrrrene

@bassekeNL • 4 april 2020 13:07

Natuurlijk is het werk. Als jij met 3 avonden werk $75k kunt verdienen, hoef je de overige 362 dagen in het jaar niet meer te werken. En als je er niks aan wil verdienen, geef je die 75k weer weg aan een goed doel en kun je dat aftrekken van de belasting, waardoor je alsnog niks krijgt :-)

Ik ben geen fiscaal expert, maar dit soort bedragen krijg je bij de belastingdienst echt niet verkocht als "hobby".

Frubelaar @Luchtbakker • 3 april 2020 23:06

Als dat zo is mag je dan bv je PC dan aftrekken als ondernemingskosten?

rickdtop @Frubelaar • 3 april 2020 23:40

voor de zaak wel

Fireshade @Luchtbakker • 4 april 2020 08:53

Dat het inkomen is, doet er niet toe in NL.
Als je het geld voor niets krijgt, wordt dat ook belast (boven bepaalde drempels). Denk aan schenking, erfenis, etc.
Ook winst uit investeringen worden belast, zoals rente uit vermogen, winst uit een loterij, dividend van aandelen, etc.
Kortom, alles (evt. boven drempels).

[Reactie gewijzigd door Fireshade op 27 juli 2024 23:23]

K-aroq @Luchtbakker • 4 april 2020 10:38

Maar je kunt natuurlijk creatief zijn met de gemaakte kosten om de lekken te vinden. Als je 1000 uur hebt geïnvesteerd blijft er onder aan de streep niet zo veel belastbaars meer over. Maar dat moet je wel aannemelijk kunnen maken.

ashwin911 @K-aroq • 4 april 2020 12:17

Dat werkt alleen als je flinke kosten per uur maakt. En welke kosten gaat er bij hack werk per uur omhoog?

[Reactie gewijzigd door ashwin911 op 27 juli 2024 23:23]

GeoBeo @Luchtbakker • 5 april 2020 10:24

Je kunt er het makkelijkste vanuit gaan dat alles dat je ontvangt (als NL'er) boven de 2000 EUR belast is.

Er zijn maar weinig zaken in Nederland die niet belast zijn. Het enige dat ik zo uit m'n hoofd weet: schenkingen uit het buitenland zijn niet belast* en binnenlandse schenkingen onder de 2000 EUR zijn niet belast. Zowat al het andere wel.

Als een Nederlander (die in Nederland woont) deze hack had uitgevoerd en het was zijn eerste en enige hack dit jaar dan had hij van zijn ongeveer 70.000 EUR, zo'n 45401 EUR overgehouden. Als hij dat jaar al eerder zo'n hack had gedaan, dan had hij van deze hack < 35.000 EUR overgehouden (belasting is hoger naarmate je meer verdient).

Kort antwoord: ja, natuurlijk wordt je belast op zo'n bedrag. Dat gaat gewoon in box 1 inkomsten belasting. Er zijn veel landen in de wereld (bijna alle?) waar je als Hacker kunt gaan wonen en minder belasting zult betalen dan hier in Nederland. Met als bonus beter weer en in sommige gevallen betere en goedkopere zorg en infra.

* Heeft gok ik iets te maken met het feit dat politieke partijen en personen graag voor zichzelf legaal belastingvrij giften willen kunnen ontvangen.

[Reactie gewijzigd door GeoBeo op 27 juli 2024 23:23]

mwa @Verwijderd • 3 april 2020 21:13

In NL? Ja, waarom niet?

supersnathan94

Apple
Apple iPhone

@mwa • 3 april 2020 21:19

Nou omdat het dus om foreign currency gaat die je je denk ik niet zomaar ff overgeboekt krijgt maar via een soort arbeidscontract kan en dat er dan daar over dat bedrag al wordt afgedragen in dat land. En volgens mij hoef je dan in NL niet nog een keer af te dragen. Dan wordt het niet als inkomsten gezien maar gewoon los als vermogen. Heb wel dergelijke vakjes gezien bij het invullen.

Cergorach

Beveiliging en antivirus

@supersnathan94 • 3 april 2020 21:26

Het zijn inkomsten als zelfstandige ondernemer, die zullen belast worden in NL volgens de regels. En afhankelijk van hoeveel geld je uit een bepaald land krijgt kan daar extra op belast worden in dat land. Dit legt het goed uit, maar is oud, je kan meer vinden op de site van de belastingdienst:
https://taxci.nl/read/belastingplicht_buitenland

Fermion @Cergorach • 3 april 2020 22:32

ondernemer of wordt gezien als een beloning, vindersloon. Wat mij betreft opgeven bij je belasting aangifte.

Rex @Fermion • 3 april 2020 22:58

Het lijkt me gewoon dat het loon/inkomsten zijn.
Apple publiceert werk en zegt erbij hoeveel ze betalen voor het werk. Jij doet dan het werk, het zoeken naar bugs, en krijgt dan uitbetaald.
Het lijkt me geen vindersloon, omdat je niet iets hebt gevonden wat een andere verloren heeft.

Verwijderd @Rex • 3 april 2020 23:10

Vindersloon is het ene uiterste, maar dat Apple ‘werk’ aanbiedt en jij dat werk uitvoert als een job lijkt me toch een ander extreem standpunt.

Wat nou als je toevallig op zo’n bug uitkomt, als hobbyist in een dood moment’s avonds of zelfs per ongeluk. Zoals een aantal jaar geleden op macOS niets ingeven als rootwachtwoord, roottoegang gaf. Dat zou perfect toevallig gevonden kunnen worden.

EDIT: Uiteraard ziin er mensen/bedrijven die dit doen als job. Ik wil er gewoon op wijzen dat dat niet altijd zo hoeft te zijn.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 23:23]

Verwijderd @Verwijderd • 4 april 2020 01:11

Dan zijn het nog steeds inkomsten. Ook over een gift betaal je belasting.

Deralte @Verwijderd • 4 april 2020 07:28

Op een handgift niet, dat is belastingvrij. Ik weet wel niet zeker of een rechtspersoon een handgift kan doen.

zacht @Deralte • 4 april 2020 07:45

Tot een bepaald bedrag. En als je er een huis mee koopt ligt dat bedrag een stuk hoger.

Geim @Deralte • 4 april 2020 11:06

Handgiften kennen we volgens mij in Nederland niet. Elke gift boven ongeveer €5000 moet belast worden.

Deralte @Geim • 4 april 2020 20:22

Goh, in België is het onbeperkt, zolang de schenker niet sterft binnen drie jaar, anders gelden erfenisrechten.

Verwijderd @Deralte • 4 april 2020 14:04

Dat is iets Belgisch. In Nederland betaal je belasting over giften boven een paar duizend euro, lokaal is dat van je ouders, vrienden, zus, etc. Daar gaat een "gift" van een bedrijf zeker onder vallen en strenger onder belast worden.

Deralte @Verwijderd • 4 april 2020 20:21

Dat wist ik dus niet, tnx voor de info

Cergorach

Beveiliging en antivirus

@theduke1989 • 3 april 2020 22:11

Sorry, maar een transactie van 10k krijgt gewoon een wimpeltje, als je dat dus niet opgeeft als inkomsten heb je best wel een probleem als de belastingdienst verhaal komt halen. Als jij normaal minder dan een ton verdient en nu nog steeds minder dan een ton, dan gaat er ergens een alarmpje af. Is het jou nooit opgevallen dat de belastingdienst precies weet hoeveel er op je rekening staat?

Tenzij men hier hebben betaald met cryptovaluta en de ontvanger is heel voorzichtig met het inkaseren er van, dan gaat dat niet goed als dit in NL zou gebeuren.

Polderdijk @Cergorach • 3 april 2020 22:59

De bank stuurt begin van het jaar de eindsoldi van het afgelopen jaar naar de belastingdienst, zodat deze vooraf ingevuld.

Geloof nou echt niet dat de belastingdienst elke banktransactie in z'n database heeft staan!

Wel is de bank zelf verplicht om verdachte transacties na te kijken voordat deze verwerkt worden.

Maar dat is aan de bank kant, en in dit geval prima voor de ontvanger te verantwoorden. Dus geen enkel probleem in deze.

RebelwaClue @Polderdijk • 4 april 2020 00:35

Bedragen boven de 25.000 moeten sowieso doorgegeven worden aan de belastingdienst. En al houden ze niet elke transactie bij, dit mogen ze wel opvragen als ze vermoedens hebben dat er meer aan de hand is.

dez11de @supersnathan94 • 4 april 2020 16:15

Ik denk dat je dit zomaar overgeboekt krijgt.

Deralte @jaaoie17 • 4 april 2020 07:29

Is dat zo? Je krijgt er dan ook erg veel voor terug.

Verwijderd @jaaoie17 • 4 april 2020 10:48

Sinds 1815 toen werd bepaald dat belastinginkomsten aangewend moesten worden voor het algemeen welzijn en niet meer zonder controle of wet naar een individueel persoon mocht gaan. Vanaf dat moment controleerde we volksvertegenwoordiging waar het geld bleef. Nederland is nu een van de beste landen als het gaat om de hoeveelheid 'services' die de burger krijgt per belastingsom.

Deralte @jaaoie17 • 4 april 2020 20:26

Met die mentaliteit kan ik je Iran aanbevelen. Je gaat er vast veel gelukkiger zijn.

Deralte @jaaoie17 • 4 april 2020 20:25

Er zijn echt nog mensen die denken dat ze mensen het beter hebben in bvb Amerika. Komisch toch. Wees maar een gewone arbeider die ontslagen wordt met de coronacrisis in Amerika... krijg dan eens corona en kom eens in een hospitaal terecht... veel plezier daarmee.

Deralte @jaaoie17 • 5 april 2020 12:57

Wat zoek jij op tweakers.net? Kansen om te trollen?

FeronIT @Verwijderd • 3 april 2020 21:14

In Nederland in ieder geval wel, het zijn inkomsten dus grijpt heeft de belastingdienst recht op een deel daarvan

wjn @FeronIT • 3 april 2020 22:00

Hangt er vanaf of NL verdragen heeft met het land in kwestie ter verkoming van dubbele belasting.

sprankel @wjn • 3 april 2020 22:59

Dat is enkel van toepassing als je in een ander land belastingen betaald wat in de praktijk wilt zeggen dat je er werkt of woont.

Met uitzondering van bedrijven die deze truc gebruiken door ergens een kantoor neer te zetten waar het belastingregime gunstig is om als bedrijf van daaruit te factureren. Binnen de EU is dat Ierland, Cyprus, Luxemburg, Nederland en Malta, vooral de tech sector zit te factureren vanuit Ierland (check maar als je iets koopt in een store van Microsoft, Apple of Google, factuur komt uit Ierland).
Voor ik de reactie krijg dat Nederland geen belastingparadijs is, ik spreek over bedrijven, en ik zeg dat niet, rapporten naar belastingparadijzen stellen dat Nederland trucjes aanbied aan bedrijven om belastingen te ontwijken, meer trucjes dan de rest van de EU blijkbaar.

Overigens voor we de discussie krijgen dat bedrijven belastingen ontwijken, we doen dat allemaal, uiteraard, wie gaat er nu meer betalen als hij minder kan betalen. Je moet bij de overheden zijn met een veel te complex fiscaal regime waar vaak zelfs met opzet achterdeurtjes ingebouwd worden. Er is zelfs concurrentie op het hebben van fiscale achterdeurtjes, daarom dat vooral de kleine EU lidstaten in die lijst staan. Bekijk het zo, als die dikke bedrijven bij jou komen, ook al betalen ze nauwelijks iets, je verdient eraan, als je land maar een inktvlek groot is dan word dat snel heel winstgevend dat grote jongens als hun facturen voor heel de EU bij jou binnen brengen.

TheVivaldi @sprankel • 4 april 2020 12:13

En niet alleen tech: ook een veel openbaarder bedrijf als NS opereerde eerder via Ierland, en dochterbedrijf Abellio ook: https://www.volkskrant.nl...wde-ierse-route~b4b80201/

Gtoniser @Verwijderd • 3 april 2020 23:15

Zeker, net als andere inkomsten uit werk. Bron: heb zelf ook wel eens bug bounties en mag daar ongeveer de helft van afstaan aan de belastingdienst.

Bart© @Verwijderd • 6 april 2020 08:42

Officieel wel. Hoe je het ook bekijkt, je krijg geld voor iets dat je hebt gedaan.
Als je er mee weg komt door het niet op te geven en omdat je bijvoorbeeld niet in de steekproef van de belastingdienst valt dan kun je mazzel hebben. Maar het zou wel moeten.

Daoka 3 april 2020 21:16

Voor mij gevoel niet een hele grote beveiligings probleem. Ik verwacht dat de meeste mensen voor de de meeste dingen wel de programma / app gebruiken omdat je die sneller kan openen. Dingen zoals Skype dus.

Wel weer knap natuurlijk dat het gevonden is en natuurlijk wel beter als het opgelost is.

GoBieN-Be @Daoka • 3 april 2020 21:19

Als je in je ondergoed of nog minder gekleed voor jouw PC/Mac/iPhone/iPad zit en ze kunnen dus gevoelige beelden van jou maken lijkt het mij toch wel een serieus probleem.

Cergorach

Beveiliging en antivirus

@GoBieN-Be • 3 april 2020 21:31

Persoonlijk gebruik ik niet de frontfacing camera's van zowel de iPhone als de iPad, dus deze netjes afgeplakt om dit soort geneuzel voor te zijn. Dit is trouwens niet nieuw, dit heb ik jaren geleden al gedaan omdat wat beveiligingsexperts waarmee ik samenwerkte lieten zien hoe makkelijk iets dergelijks te doen was. Zowel m'n iPad als iPhone liggen op mijn bureau en ik ben vaak bezig met vertrouwelijke gegevens voor klanten op het beeldscherm. Mocht een dergelijke security exploit ooit bij mij misbruikt worden, dan zien ze niet wat er op mijn beeldschermen voorbijkomt...

Daarnaast heb je ook niet meer dat een klant 'per ongeluk' je 's ochtends vroeg belt met facetime en je met je automatisme opneemt... Happened once, won't happen again, ever! ;-)

xantilyst1 @Cergorach • 3 april 2020 22:04

Ik denk dat zoiets geheel eraan ligt of die info belangrijk is, of ze er wat aan hebben waarvoor ze de moeite willen doen, want ik kan me voorstellen dat een kwaadaardige niet veel heeft aan telefoonnummer en huisnummer, zal het gaan om geldbedragen en wachtwoorden van klanten is het iets anders.

Maar wilde vooral reageren omdat het voor de meeste huis tuin keuken iPads het niet waard is om zoiets af te plakken, en ten slotte doet het afbreuk aan het design, wat voor veel mensen belangrijker is dan hun tweakers wachtwoord

Ook moet ik in mn 22 jarige levensjaren flink achter mn oren krabben om iemand te vinden met afgeplakte iPhone cameras

Cergorach

Beveiliging en antivirus

@xantilyst1 • 3 april 2020 22:15

Ook moet ik in mn 22 jarige levensjaren flink achter mn oren krabben om iemand te vinden met afgeplakte iPhone cameras

Oh, wat dat betreft ben ik redelijk uniek.. ;-)

Vergeet echter niet dat ITers regelmatig aan systemen van klanten 'sleutelen' waarin miljoenen, zo niet miljarden worden verwerkt/beheert. Vergeet ook niet dat dit issue al begon te spelen voordat MFA en dergelijke common use waren in veel system.

Daoka @Cergorach • 3 april 2020 23:56

Ik ken dan iemand die achter de Mac van een ander wwar hij 1 of 2 keer per week werkte altijd een post it sticker op de camera plakte. Maar op zijn telefoon doet hij dan weer niets terwijl die dan weer dagelijks vaak gebruikt wordt door hem.

Daoka @GoBieN-Be • 3 april 2020 23:50

Klopt dat is inderdaad niet leuk. Al denk ik wel dat als ze het bij mij zouden doen dat ze zo van me schrikken dat mijn ip bij hun geblokkeerd gaat worden.

Maar het ging meer om van hoeveel mensen de websites op vertrouwen zetten zodat de lek gebruikt kan worden. Ik verwacht niet veel. Ik denk dat voor de meeste websites de mensen eerder de programma of app zullen gebruiken omdat dit makkelijker is voor de meeste mensen. Als ik zie dat bijvoorbeeld +1 miljoen mensen op de play store de app van bol.com hebben. Terwijl dit met internet app openen www.bol.com in te typen en op de enter of ga knop drukken. Dus 13x op het scherm en je heb bol.com ook open hebt. Daarom vind ik dat het een geen grote probleem. En natuurlijk zijn er situaties te bedenken wat het onveilig maakt of onprettig is. Daarom is het ook gewoon goed dat dit gemeld is (en hopelijk gefixed wordt).

SunnieNL

@Daoka • 4 april 2020 09:06

Veel van die programma’s gebruiken onder water gewoon de websites. Denk ook aan Webex, chat programma’s, websites waar je even de camera gebruikt om een foto te maken (ov kaart).
Als je eenmalig een meeting van teams, Skype, Webex, zoom of andere bezoekt ga je ook niet alles installeren.

t link 3 april 2020 21:19

vindt het eigenlijk nog best weinig die 75.000. als je dit op de zwarte markt verkocht had je daar denk ik meer voor kunnen vangen. kan je het je voorstellen als je onverwacht stukjes uit celebritries hun leven kan opnemen zonder dat ze het doorhebben? er zijn echt zat mensen die daar goed geld voor zouden geven... maar misschien zit ik ernaast?

xantilyst1 @t link • 3 april 2020 21:56

Het is beter dan niets, maar als je de bad guy wil zijn kan je er wel meer voor vangen vrees ik

t link @xantilyst1 • 4 april 2020 14:04

Ja zeker, maar ik dacht dat de meeste bug bounties hoger waren...

Douweegbertje @t link • 4 april 2020 15:27

Eerder lager. Gemiddeld gezien zitten de uitschieters qua bounty uitkeringen tussen de 10 en 20 duizend dollar voor "critical" meuk.
Dit zijn vaak de toch wat grotere bedrijven.

De massa zit een stuk lager met maximums van ongeveer 5000 voor serieuze issues en vaak minimaal 50-250 voor kleine dingetjes.

In feite, als je de skills hebt, dan kan je prima bovenmodaal verdienen met dit soort projecten. Doch als je die skills hebt werk je vaak bij een bedrijf waar je zeer goed verdiend

Ikzelf pak af en toe een bounty project op voor het plezier/hobby. Het "zakcentje" is leuk meegenomen.

fapkonijntje @t link • 4 april 2020 00:07

Het is in deze markt een beetje aan de karige kant. Dit soort dingen kunnen tonnen opleveren tot zelfs een miljoen bij het verkopen aan anderen. Maar het is Apple. Die hebben het niet zo breed.

Douweegbertje @fapkonijntje • 4 april 2020 15:30

Alles wat illegaal is verdiend meer... Super irrelevant argument. Mensen die deze skillset hebben en gebruiken zitten vaak niet verlegen om geld. De faam en plezier is daarin belangrijker.
Ik heb ook liever 70k wit dan een paar ton zwart geld.

K-aroq @t link • 4 april 2020 10:40

Hangt ervan af hoeveel tijd het heeft gekost om het te vinden. Je hoeft niet het onderste uit de kan te halen omdat de andere kant van de tafel veel geld heeft.

t link @K-aroq • 4 april 2020 14:04

Het gaat niet alleen om de tijd die het je gekost heeft maar ook hoevaak je niks gevonden hebt en hoeveel vaardigheid het vereisde.

willyb 3 april 2020 21:10

Ook wel mooi hoe de onderzoeker hier weer eens aantoont dat je op twitter nooit op verkorte links moet klikken. Want als je de link naar blob://iets had gezien, had je je wel 2x afgevraagd of je daarop ging klikken.

supersnathan94

Apple
Apple iPhone

@willyb • 3 april 2020 21:20

Wat ik me dan weer afvraag is hoe zit met Blobs en Data tags. Images worden steeds vaker als losse datastream aangeleverd en niet als links naar een jpg. Is dat dan ook vatbaar voor zo’n aanval?

Daar zie jij namelijk helemaal niets van.

MrDayOff 4 april 2020 05:24

Was die bug niet ook al in 2013 ontdekt en gefixed? Blijkbaar weer dezelfde fout gemaakt door Apple:

Safari
for: iPhone 4 and later,
iPod touch (5th generation) and later, iPad 2 and later
Impact: Visiting a malicious website may allow an arbitrary URL to be displayed
Description: A URL bar spoofing issue existed in Mobile Safari. This issue was addressed through improved URL tracking.
CVE-ID CVE-2013-5152 : Keita Haga of keitahaga.com, Lukasz Pilorz of RBS

Bron:
https://lists.apple.com/a...ce/2013/Sep/msg00006.html

Die Keit Haga had die spoof bug namelijk toen ook in Google Chrome gevonden, en kreeg daarvoor $ 3.000,- van Google.

Wel suf dat diezelfde bug 7 jaar later opnieuw is ontdekt en dat ie er ook nog een een flinke smak geld voor krijgt.

SunnieNL

@MrDayOff • 4 april 2020 09:10

Dat is alleen de url bar die wat anders laat zien. Het gaat nu om het totale beveiligingssysteem eraan. Safari denkt daadwerkelijk dat je op die site bent en geeft je toegang tot onderdelen van het OS
Daarnaast zat de bug nu ook in MacOS versie van Safari.

R2-D2 3 april 2020 21:08

Is er ook een mogelijkheid om bovenstaande GIF te pauzeren? best wel hinderlijk..

Weltschmerz @R2-D2 • 3 april 2020 21:15

Ik verbaas me er vaak over hoeveel websites dit gebruiken. Zelf vind ik het ook behoorlijk irritant, en ik gebruik Adblock plus om het element te blokkeren op de website.

Chopp @R2-D2 • 3 april 2020 21:18

Rechtermuis klik op de GIF, inspect, backspace of delete toets

martijnmaas

@Chopp • 4 april 2020 14:49

Werkt perfect !!!

Op dit item kan niet meer gereageerd worden.

Apple betaalt 75.000 dollar voor lek waarmee iPhonecamera kon worden overgenomen

Lees meer

Reacties (90)

Sorteer op:

Weergave: